Probleemoplossing: een site-to-site-VPN-verbinding van Azure kan geen verbinding maken en werkt niet meer

Nadat u een site-naar-site-VPN-verbinding tussen een on-premises netwerk en een virtueel Azure-netwerk hebt geconfigureerd, werkt de VPN-verbinding plotseling niet meer en kan deze niet opnieuw worden verbonden. Dit artikel bevat stappen voor probleemoplossing om dit probleem op te lossen.

Als uw Azure-probleem niet wordt opgelost in dit artikel, gaat u naar de Azure-forums op Microsoft Q & A en Stack Overflow. U kunt uw probleem posten in deze forums of posten op @AzureSupport op Twitter. U kunt ook een Azure-ondersteuningsaanvraag indienen. Als u een ondersteuningsaanvraag wilt indienen, selecteert u op de pagina Azure-ondersteuningOndersteuning krijgen.

Stappen voor probleemoplossing

U kunt het probleem oplossen door eerst de Azure VPN-gateway opnieuw in te stellen en de tunnel opnieuw in te stellen vanaf het on-premises VPN-apparaat. Als het probleem zich blijft voordoen, volgt u deze stappen om de oorzaak van het probleem te identificeren.

Vereiste stap

Controleer het type van de Azure VPN-gateway.

1. Ga naar de Azure Portal.

2. Ga naar de virtuele netwerkgateway voor uw VNet. Op de pagina Overzicht ziet u het gatewaytype, het VPN-type en de gateway-SKU.

Stap 1: Controleren of het on-premises VPN-apparaat is gevalideerd

1. Controleer of u een gevalideerde VPN-apparaat- en besturingssysteemversie gebruikt. Als het apparaat geen gevalideerd VPN-apparaat is, moet u mogelijk contact opnemen met de fabrikant van het apparaat om te zien of er een compatibiliteitsprobleem is.

2. Zorg ervoor dat het VPN-apparaat juist is geconfigureerd. Zie Voorbeelden van apparaatconfiguratie bewerken voor meer informatie.

Stap 2: De gedeelde sleutel controleren

Vergelijk de gedeelde sleutel voor het on-premises VPN-apparaat met Azure Virtual Network VPN om ervoor te zorgen dat de sleutels overeenkomen.

Gebruik een van de volgende methoden om de gedeelde sleutel voor de Azure VPN-verbinding weer te geven:

Azure-portal

1. Ga naar de VPN-gateway. Zoek en open de verbinding op de pagina Verbindingen.

2. Selecteer verificatietype. Werk de gedeelde sleutel bij en sla deze indien noodzakelijk op.

Azure PowerShell

Notitie

Het wordt aanbevolen de Azure Az PowerShell-module te gebruiken om te communiceren met Azure. Zie Azure PowerShell installeren om aan de slag te gaan. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.

Voor het Azure Resource Manager-implementatiemodel:

Get-AzVirtualNetworkGatewayConnectionSharedKey -Name <Connection name> -ResourceGroupName <Resource group name>

Voor het klassieke implementatiemodel:

Get-AzureVNetGatewayKey -VNetName -LocalNetworkSiteName

Stap 3: de VPN-peer-IP's controleren

• De IP-definitie in het object Lokale netwerkgateway in Azure moet overeenkomen met het IP-adres van het on-premises apparaat.
• De IP-definitie van de Azure-gateway die is ingesteld op het on-premises apparaat, moet overeenkomen met het IP-adres van de Azure-gateway.

Stap 4: UDR en NSG's controleren in het gatewaysubnet

Controleer op en verwijder door de gebruiker gedefinieerde routering (UDR) of netwerkbeveiligingsgroepen (NSG's) in het gatewaysubnet en test het resultaat. Als het probleem is opgelost, valideert u de instellingen die UDR of NSG hebben toegepast.

Stap 5: Controleer het adres van de externe interface van het on-premises VPN-apparaat

Als het internetgerichte IP-adres van het VPN-apparaat is opgenomen in de definitie van het lokale netwerk in Azure, kunnen er sporadische verbroken verbindingen optreden.

Stap 6: Controleer of de subnetten exact overeenkomen (op beleid gebaseerde gateways van Azure)

• Controleer of de adresruimte(s) van het virtuele netwerk exact overeenkomen tussen het virtuele Azure-netwerk en de on-premises definities.
• Controleer of de subnetten exact overeenkomen met de lokale netwerkgateway en de on-premises definities voor het on-premises netwerk.

Stap 7: De statustest van de Azure-gateway controleren

1. Open de statustest door naar de volgende URL te bladeren:

   https://<YourVirtualNetworkGatewayIP>:8081/healthprobe

   Voor actieve/actieve gateways gebruikt u het volgende om het tweede openbare IP te controleren:
   

   https://<YourVirtualNetworkGatewayIP2>:8083/healthprobe

2. Klik op de certificaatwaarschuwing.

3. Als u een antwoord ontvangt, wordt de VPN-gateway beschouwd als in orde. Als u geen antwoord ontvangt, is de gateway mogelijk niet in orde of veroorzaakt een NSG in het gatewaysubnet het probleem. De volgende tekst is een voorbeeld van een respons:

   <?xml version="1.0"?>
   <string xmlns="http://schemas.microsoft.com/2003/10/Serialization/">Primary Instance: GatewayTenantWorker_IN_1 GatewayTenantVersion: 14.7.24.6</string>
   

Notitie

Basis-SKU VPN-gateways reageren niet op statustest. Ze worden niet aanbevolen voor productieworkloads.

Stap 8: Controleer of het on-premises VPN-apparaat de perfecte functie voor doorstuurgeheim heeft ingeschakeld

De perfecte functie voor het doorsturen van geheimhouding kan problemen met de verbinding veroorzaken. Als voor het VPN-apparaat een perfecte doorstuurgeheim is ingeschakeld, schakelt u de functie uit. Werk vervolgens het IPsec-beleid van de VPN-gateway bij.

Notitie

VPN-gateways reageren niet op ICMP op hun lokale adres.

Volgende stappen

• Een site-naar-site-verbinding met een virtueel netwerk configureren
• Een IPsec-/IKE-beleid configureren voor site-naar-site-VPN-verbindingen